Time‑of‑Check/Use‑Angriff auf Core‑Dumps

Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset.

• Merklemap-Kritik an Static CT

• Bugreports zu Microsofts Zertifikatsnichtwiderrufen: https://bugzilla.mozilla.org/showbug.cgi?id=1962829 und https://bugzilla.mozilla.org/showbug.cgi?id=1965612

• Technische Details zu coredump-Lücken von Qualys

• Erklärung von Oracle zur systemd-coredump-Lücke

• PoC zur systemd-coredump-Lücke von CIQ

• "Made you Reset"-Blogposts: https://galbarnahum.com/posts/made-you-reset-intro und https://galbarnahum.com/posts/made-you-reset-technical-details

• Folgt uns im Fediverse:

• @christopherkunz@chaos.social

• @syt@social.heise.de

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort